Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7768024B2 - Electronic control unit - Google Patents
[go: Go Back, main page]

JP7768024B2 - Electronic control unit - Google Patents

Electronic control unit

Info

Publication number
JP7768024B2
JP7768024B2 JP2022070130A JP2022070130A JP7768024B2 JP 7768024 B2 JP7768024 B2 JP 7768024B2 JP 2022070130 A JP2022070130 A JP 2022070130A JP 2022070130 A JP2022070130 A JP 2022070130A JP 7768024 B2 JP7768024 B2 JP 7768024B2
Authority
JP
Japan
Prior art keywords
authentication
rewrite
request
processing unit
entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022070130A
Other languages
Japanese (ja)
Other versions
JP2023160067A (en
Inventor
真也 大北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2022070130A priority Critical patent/JP7768024B2/en
Priority to DE102023109180.8A priority patent/DE102023109180A1/en
Publication of JP2023160067A publication Critical patent/JP2023160067A/en
Application granted granted Critical
Publication of JP7768024B2 publication Critical patent/JP7768024B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Description

本発明は、電子制御装置に関する。 The present invention relates to an electronic control device.

例えば車載用の電子制御装置(以下、ECU(Electronic Control Unit)と称する)においては、機能の向上や不具合の解消等を目的としてプログラムを書き換え可能に構成されている。この種のECUは、不正なプログラムの書き換えを未然に回避する構成として複数の認証処理を順番に実施する構成となっている。例えば特許文献1には、エンティティ認証処理と書き換え認証処理との2つの認証処理を実施する構成が開示されている。 For example, in-vehicle electronic control units (hereinafter referred to as ECUs (Electronic Control Units)) are configured to allow their programs to be rewritten in order to improve functionality or resolve malfunctions. This type of ECU is configured to perform multiple authentication processes in sequence to prevent unauthorized program rewriting. For example, Patent Document 1 discloses a configuration that performs two authentication processes: entity authentication processing and rewrite authentication processing.

特開2017-11491号公報JP 2017-11491 A

しかしながら、特許文献1に開示されている構成では、エンティティ認証及び書き換え認証が順番に突破されると、プログラムが不正に書き換えられてしまう虞がある。 However, with the configuration disclosed in Patent Document 1, if entity authentication and rewrite authentication are breached in sequence, there is a risk that the program may be illegally rewritten.

本発明は、上記した事情に鑑みてなされたものであり、その目的は、不正なプログラムの書き換えを適切に未然に回避することができる電子制御装置を提供することにある。 The present invention was made in consideration of the above circumstances, and its purpose is to provide an electronic control device that can appropriately prevent unauthorized program rewriting.

請求項1に記載した発明によれば、外部から更新データが転送されることでプログラムを書き換える際に複数の認証処理を順番に実施する。前記複数の認証処理をそれぞれ実施する複数の認証処理部(3,4)と、外部からの不正な認証要求を検知すると、前記複数の認証のうち少なくとも一つの認証方法を変更する認証方法変更判定部(5)と、を備える。前記複数の認証処理部は、先行する第1認証処理を実施する第1認証処理部(3)と、後続する第2認証処理を実施する第2認証処理部(4)と、を含む。前記認証方法変更判定部は、前記第1認証の認証結果が前記第1認証処理部により正常であると特定され、前記第2認証の認証結果が前記第2認証処理部により異常であると特定されると、外部からの不正な認証要求を検知し、前記第1認証の認証方法を変更する。外部からの不正な認証要求を検知すると、前記複数の認証のうち少なくとも一つの認証方法を変更することで、不正なプログラムの書き換えを適切に未然に回避することができる。
According to the invention described in claim 1, multiple authentication processes are performed sequentially when a program is rewritten in response to update data transferred from an external device. The system includes multiple authentication processing units (3, 4) that perform the multiple authentication processes, respectively, and an authentication method change determination unit (5) that changes at least one authentication method among the multiple authentication processes upon detecting an unauthorized authentication request from an external device. The multiple authentication processing units include a first authentication processing unit (3) that performs a preceding first authentication process and a second authentication processing unit (4) that performs a subsequent second authentication process. When the first authentication processing unit determines that the authentication result of the first authentication is normal and the second authentication processing unit determines that the authentication result of the second authentication is abnormal, the authentication method change determination unit detects the unauthorized authentication request from an external device and changes the authentication method of the first authentication. By changing at least one authentication method among the multiple authentication processes upon detecting an unauthorized authentication request from an external device, unauthorized program rewriting can be appropriately prevented.

一実施形態を示す機能ブロック図Functional block diagram illustrating one embodiment. 不正なリプログツールが接続された態様を示す図A diagram showing how an unauthorized reprogramming tool is connected フローチャートflowchart フローチャートflowchart フローチャートflowchart

以下、一実施形態について図面を参照して説明する。図1に示すように、ECU1は、例えば車載用のECUであり、駆動系の制御を行う装置、ADAS(Advanced Driving Assistant System)系の制御を行う装置、マルチメディア系の制御を行う装置等である。 One embodiment will be described below with reference to the drawings. As shown in Figure 1, ECU 1 is, for example, an in-vehicle ECU, and is a device that controls the drive system, an ADAS (Advanced Driving Assistant System), a multimedia system, or the like.

ECU1は、CPU、RAM、ROM、I/O等を有するマイコンを主体とする制御部2を備える。制御部2は、非遷移的実体的格納媒体に格納されているコンピュータプログラムを実行することでコンピュータプログラムに対応する処理を実施し、ECU1の動作を制御する。ECU1は、機能の向上や不具合の解消等を目的としてプログラムを書き換え可能に構成されている。ECU1は、プログラムの書き換えを制御するリプログツール6と車載ネットワークを介して接続されている。車載ネットワークは、例えばCAN(Controller Area Network)(登録商標)、FLEXRAY(登録商標)、CXPI(Clock Extension Peripheral Interface)(登録商標)等である。 ECU1 is equipped with a control unit 2, primarily consisting of a microcomputer with a CPU, RAM, ROM, I/O, etc. The control unit 2 executes computer programs stored in a non-transient physical storage medium to perform processing corresponding to the computer programs and control the operation of ECU1. ECU1 is configured so that the programs can be rewritten to improve functionality, resolve malfunctions, etc. ECU1 is connected to a reprogramming tool 6, which controls program rewriting, via an in-vehicle network. Examples of in-vehicle networks include CAN (Controller Area Network) (registered trademark), FLEXRAY (registered trademark), and CXPI (Clock Extension Peripheral Interface) (registered trademark).

リプログツール6は、更新データをECU1へ転送すると共に書き換え指示をECU1へ通知し、プログラムの書き換えをECU1に実施させる。即ち、ECU1は、リプログツール6から更新データが転送されると共に書き換え指示が通知されることでプログラムの書き換えを実施する。 The reprogramming tool 6 transfers the update data to the ECU 1 and notifies the ECU 1 of a rewrite instruction, causing the ECU 1 to rewrite the program. In other words, the ECU 1 rewrites the program when the update data is transferred from the reprogramming tool 6 and the rewrite instruction is notified.

ECU1は、プログラムの書き換えを実施する前処理として認証処理を実施する。具体的には、ECU1は、最初にリプログツール6からエンティティ認証要求を受信すると、エンティティ認証処理を実施する。ECU1は、エンティティ認証処理の認証結果が正常であると、リプログツール6からの書き換え認証要求の受信を待機し、続いてリプログツール6から書き換え認証要求を受信すると、書き換え認証処理を実施する。ECU1は、書き換え認証処理の認証結果が正常であると、リプログツール6からの更新データの転送及び書き換え指示の通知を許容し、プログラムの書き換えを実施する。 ECU1 performs authentication processing as a preprocessing step before rewriting the program. Specifically, when ECU1 first receives an entity authentication request from the reprogramming tool 6, it performs entity authentication processing. If the authentication result of the entity authentication processing is normal, ECU1 waits to receive a rewrite authentication request from the reprogramming tool 6, and then performs rewrite authentication processing when it receives a rewrite authentication request from the reprogramming tool 6. If the authentication result of the rewrite authentication processing is normal, ECU1 allows the transfer of update data and notification of a rewrite instruction from the reprogramming tool 6, and performs the program rewrite.

制御部2は、CPU、ROM、RAM、I/O及びこれらの構成を接続するバスライン等を含むマイコンを主体として構成されている。制御部2は、予め記憶されているプログラムをCPUで実行することによるソフトウェア処理、専用の電子回路によるハードウェア処理による制御を実行し、ECU1の動作を制御する。制御部2は、機能毎に、第1認証処理部に相当するエンティティ認証処理部3と、第2認証処理部に相当する書き換え認証処理部4と、認証方法変更判定部5とを備える。 The control unit 2 is primarily composed of a microcomputer including a CPU, ROM, RAM, I/O, and bus lines connecting these components. The control unit 2 controls the operation of the ECU 1 by executing software processing by running pre-stored programs in the CPU, and hardware processing by dedicated electronic circuits. For each function, the control unit 2 comprises an entity authentication processing unit 3 corresponding to the first authentication processing unit, a rewrite authentication processing unit 4 corresponding to the second authentication processing unit, and an authentication method change determination unit 5.

エンティティ認証処理部3は、外部からエンティティ認証要求を受信すると、エンティティ認証用の鍵情報と暗号エンジンとを用いてエンティティ認証処理を実施する。この場合、エンティティ認証用の鍵情報及び暗号エンジンはそれぞれ複数が用意されている。エンティティ認証処理部3は、複数のエンティティ認証用の鍵情報の中から何れか一つを選定すると共に複数の暗号エンジンの中から何れか一つを選定して認証方法を決定し、その決定した認証方法を用いてエンティティ認証処理を実施する。エンティティ認証処理部3は、エンティティ認証処理を実施すると、そのエンティティ認証の認証結果を認証方法変更判定部5へ通知する。 When the entity authentication processing unit 3 receives an entity authentication request from an external device, it performs entity authentication processing using entity authentication key information and a cryptographic engine. In this case, multiple pieces of entity authentication key information and multiple cryptographic engines are provided. The entity authentication processing unit 3 selects one piece of entity authentication key information from the multiple pieces of entity authentication key information and one piece of cryptographic engines to determine the authentication method, and performs entity authentication processing using the determined authentication method. After performing entity authentication processing, the entity authentication processing unit 3 notifies the authentication method change determination unit 5 of the authentication result of the entity authentication.

エンティティ認証処理部3は、外部からエンティティ認証要求を受信すると、その受信したエンティティ認証要求の要求パターンを予め定められている正常な要求パターンと照合し、エンティティ認証要求が正常な要求パターンであるか否かを判定する。エンティティ認証処理部3は、エンティティ認証要求が正常な要求パターンでないと判定すると、エンティティ認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の失敗回数を所定回数と照合し、エンティティ認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、エンティティ認証の失敗回数が所定回数以上であると判定すると、エンティティ認証の認証結果が異常であることを記憶する。 When the entity authentication processing unit 3 receives an entity authentication request from outside, it compares the request pattern of the received entity authentication request with a predetermined normal request pattern and determines whether the entity authentication request has a normal request pattern. If the entity authentication processing unit 3 determines that the entity authentication request does not have a normal request pattern, it notifies the authentication method change determination unit 5 and the reprogramming tool 6 of an abnormality in the entity authentication result. The authentication method change determination unit 5 compares the number of entity authentication failures with a predetermined number and determines whether the number of entity authentication failures is equal to or greater than the predetermined number. If the authentication method change determination unit 5 determines that the number of entity authentication failures is equal to or greater than the predetermined number, it stores the fact that the authentication result of the entity authentication is abnormal.

エンティティ認証処理部3は、エンティティ認証要求が正常な要求パターンであると判定すると、その受信したエンティティ認証要求のデータフォーマットを予め定められている正常なデータフォーマットと照合し、その受信したエンティティ認証要求が正常なデータフォーマットであるか否かを判定する。エンティティ認証処理部3は、エンティティ認証要求が正常なデータフォーマットでないと判定すると、エンティティ認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の失敗回数を所定回数と照合し、エンティティ認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、エンティティ認証の失敗回数が所定回数以上であると判定すると、エンティティ認証の認証結果が異常であることを記憶する。 When the entity authentication processing unit 3 determines that the entity authentication request has a normal request pattern, it compares the data format of the received entity authentication request with a predetermined normal data format and determines whether the received entity authentication request has a normal data format. When the entity authentication processing unit 3 determines that the entity authentication request does not have a normal data format, it notifies the authentication method change determination unit 5 and the reprogramming tool 6 of an abnormality in the entity authentication result. The authentication method change determination unit 5 compares the number of entity authentication failures with a predetermined number and determines whether the number of entity authentication failures is equal to or greater than the predetermined number. When the authentication method change determination unit 5 determines that the number of entity authentication failures is equal to or greater than the predetermined number, it stores that the authentication result of the entity authentication is abnormal.

エンティティ認証処理部3は、エンティティ認証要求が正常なデータフォーマットであると判定すると、エンティティ認証処理を実施する。エンティティ認証処理部3は、エンティティ認証に失敗したと判定すると、エンティティ認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の失敗回数を所定回数と照合し、エンティティ認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、エンティティ認証の失敗回数が所定回数以上であると判定すると、エンティティ認証の認証結果が異常であることを記憶する。エンティティ認証処理部3は、エンティティ認証に成功したと判定すると、エンティティ認証の認証結果の正常をリプログツール6へ通知する。 If the entity authentication processing unit 3 determines that the entity authentication request has a valid data format, it performs entity authentication processing. If the entity authentication processing unit 3 determines that entity authentication has failed, it notifies the authentication method change determination unit 5 and the reprogramming tool 6 of an abnormality in the entity authentication result. The authentication method change determination unit 5 compares the number of entity authentication failures with a predetermined number and determines whether the number of entity authentication failures is equal to or greater than the predetermined number. If the authentication method change determination unit 5 determines that the number of entity authentication failures is equal to or greater than the predetermined number, it stores that the authentication result of entity authentication is abnormal. If the entity authentication processing unit 3 determines that entity authentication has been successful, it notifies the reprogramming tool 6 that the authentication result of entity authentication is normal.

書き換え認証処理部4は、外部から書き換え認証要求を受信すると、書き換え認証用の鍵情報と暗号エンジンとを用いて書き換え認証処理を実施する。この場合、書き換え認証用の鍵情報及び暗号エンジンはそれぞれ複数が用意されている。書き換え認証処理部4は、複数の書き換え認証用の鍵情報の中から何れか一つを選定すると共に複数の暗号エンジンの中から何れか一つを選定して認証方法を決定し、その決定した認証方法を用いて書き換え認証処理を実施する。書き換え認証処理部4は、書き換え認証処理を実施すると、その書き換え認証が成功の場合は、書き換え認証の認証結果をリプログツール6へ通知し、その書き換え認証が失敗の場合は、書き換え認証の認証結果を認証方法変更判定部5及びリプログツール6へ通知する。 When the rewrite authentication processing unit 4 receives a rewrite authentication request from an external device, it performs the rewrite authentication process using the rewrite authentication key information and cryptographic engine. In this case, multiple pieces of rewrite authentication key information and multiple cryptographic engines are prepared. The rewrite authentication processing unit 4 selects one piece of rewrite authentication key information from the multiple pieces of rewrite authentication key information and one piece of cryptographic engines from the multiple pieces of rewrite authentication key information to determine the authentication method, and performs the rewrite authentication process using the determined authentication method. After performing the rewrite authentication process, if the rewrite authentication is successful, the rewrite authentication processing unit 4 notifies the reprogramming tool 6 of the authentication result of the rewrite authentication. If the rewrite authentication is unsuccessful, the rewrite authentication processing unit 4 notifies the authentication method change determination unit 5 and the reprogramming tool 6 of the authentication result of the rewrite authentication.

書き換え認証処理部4は、外部から書き換え認証要求を受信すると、その受信した書き換え認証要求の要求パターンを予め定められている正常な要求パターンと照合し、書き換え認証要求が正常な要求パターンであるか否かを判定する。書き換え認証処理部4は、書き換え認証要求が正常な要求パターンでないと判定すると、エンティティ認証の認証結果の記憶値が異常である場合に、書き換え認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。書き換え認証処理部4は、書き換え認証要求が正常な要求パターンであると判定すると、その受信した書き換え認証要求のデータフォーマットを予め定められている正常なデータフォーマットと照合し、その受信した書き換え認証要求が正常なデータフォーマットであるか否かを判定する。書き換え認証処理部4は、書き換え認証要求が正常なデータフォーマットでないと判定すると、エンティティ認証の認証結果の記憶値が異常である場合に、書き換え認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。 When the rewrite authentication processing unit 4 receives a rewrite authentication request from outside, it compares the request pattern of the received rewrite authentication request with a predetermined normal request pattern and determines whether the rewrite authentication request is a normal request pattern. If the rewrite authentication processing unit 4 determines that the rewrite authentication request is not a normal request pattern, and if the stored value of the authentication result of entity authentication is abnormal, it notifies the authentication method change determination unit 5 and the reprogramming tool 6 of the abnormality in the rewrite authentication result. If the rewrite authentication processing unit 4 determines that the rewrite authentication request is a normal request pattern, it compares the data format of the received rewrite authentication request with a predetermined normal data format and determines whether the received rewrite authentication request is a normal data format. If the rewrite authentication processing unit 4 determines that the rewrite authentication request is not a normal data format, and if the stored value of the authentication result of entity authentication is abnormal, it notifies the authentication method change determination unit 5 and the reprogramming tool 6 of the abnormality in the rewrite authentication result.

書き換え認証処理部4は、書き換え認証要求が正常なデータフォーマットであると判定すると、書き換え認証処理を実施する。書き換え認証処理部4は、書き換え認証に失敗すると、エンティティ認証の認証結果の記憶値が異常である場合に、書き換え認証結果の異常を認証方法変更判定部5及びリプログツール6へ通知する。認証方法変更判定部5は、エンティティ認証の認証結果の記憶値が正常である場合に、書き換え認証の失敗回数を所定回数と照合し、書き換え認証の失敗回数が所定回数以上であるか否かを判定する。認証方法変更判定部5は、書き換え認証の失敗回数が所定回数以上であると判定すると、書き換え認証結果の異常を確定する。書き換え認証処理部4は、書き換え認証に成功すると、書き換え認証結果の正常をリプログツール6へ通知する。 When the rewrite authentication processing unit 4 determines that the rewrite authentication request has a normal data format, it performs the rewrite authentication process. When the rewrite authentication fails and the stored value of the authentication result of entity authentication is abnormal, the rewrite authentication processing unit 4 notifies the authentication method change determination unit 5 and the reprogramming tool 6 of the abnormality in the rewrite authentication result. When the stored value of the authentication result of entity authentication is normal, the authentication method change determination unit 5 compares the number of rewrite authentication failures with a predetermined number and determines whether the number of rewrite authentication failures is equal to or greater than the predetermined number. When the authentication method change determination unit 5 determines that the number of rewrite authentication failures is equal to or greater than the predetermined number, it confirms that the rewrite authentication result is abnormal. When the rewrite authentication processing unit 4 is successful, it notifies the reprogramming tool 6 that the rewrite authentication result is normal.

認証方法変更判定部5は、エンティティ認証要求の履歴を記憶するエンティティ認証要求履歴記憶部5aと、書き換え認証要求の履歴を記憶する書き換え認証要求履歴記憶部5bとを備える。エンティティ認証要求履歴記憶部5aは、外部からのエンティティ認証要求の認証が所定回数以上失敗したことを記憶する。書き換え認証要求履歴記憶部5bは、外部からの正しい要求パターン且つ正しいデータフォーマットによる書き換え認証要求の認証が所定回数以上失敗したことを記憶する。 The authentication method change determination unit 5 includes an entity authentication request history storage unit 5a that stores the history of entity authentication requests, and a rewrite authentication request history storage unit 5b that stores the history of rewrite authentication requests. The entity authentication request history storage unit 5a stores the number of times when authentication of an external entity authentication request has failed. The rewrite authentication request history storage unit 5b stores the number of times when authentication of an external rewrite authentication request using a correct request pattern and correct data format has failed.

図2に示すように、不正なリプログツール7がECU1に接続された場合でも最初にエンティティ認証処理を実施するが、エンティティ認証が突破されると、続いて書き換え認証処理を実施し、書き換え認証も突破されると、不正なプログラムの書き換えが実施される可能性がある。即ち、先行するエンティティ認証と後続する書き換え認証とが順番に突破されると、不正なプログラムの書き換えが実施される可能性がある。この場合、エンティティ認証処理部3は、不正なリプログツール7から不正なエンティティ認証要求を受信すると、エンティティ認証に失敗するが、不正なリプログツール7は、エンティティ認証が成功するまでパラメータを変更してエンティティ認証要求のECU1への送信を繰り返す。 As shown in Figure 2, even when an unauthorized reprogramming tool 7 is connected to the ECU 1, entity authentication processing is performed first. However, if entity authentication is breached, rewrite authentication processing is then performed. If rewrite authentication is also breached, unauthorized program rewriting may be performed. In other words, if the preceding entity authentication and the subsequent rewrite authentication are breached in sequence, unauthorized program rewriting may be performed. In this case, when the entity authentication processing unit 3 receives an unauthorized entity authentication request from the unauthorized reprogramming tool 7, entity authentication fails. However, the unauthorized reprogramming tool 7 changes parameters and repeatedly sends entity authentication requests to the ECU 1 until entity authentication is successful.

ここで、セキュリティ上の脆弱性を突き、エンティティ認証に成功すると、エンティティ認証の認証結果が正常となり、不正なリプログツール7は、不正な書き換え認証要求をECU1へ送信する。書き換え認証処理部4は、不正なリプログツール7から不正な書き換え認証要求を受信すると、書き換え認証の認証結果が異常となる。しかしながら、エンティティ認証の認証結果が正常であるので、エンティティ認証で使用している鍵情報、暗号アルゴリズムを含む暗号エンジン情報、乱数生成アルゴリズムを含む乱数生成情報等が解読されている可能性が高い。即ち、先行するエンティティ認証の認証結果が正常である状況で後続する書き換え認証の認証結果が異常であれば、エンティティ認証で使用している鍵情報、暗号エンジン情報、乱数生成情報等が解読されている可能性が高い。 If a security vulnerability is exploited and entity authentication is successful, the authentication result of the entity authentication will be normal, and the unauthorized reprogramming tool 7 will send an unauthorized rewrite authentication request to the ECU 1. If the rewrite authentication processing unit 4 receives an unauthorized rewrite authentication request from the unauthorized reprogramming tool 7, the authentication result of the rewrite authentication will be abnormal. However, because the authentication result of the entity authentication is normal, it is highly likely that the key information, encryption engine information including the encryption algorithm, random number generation information including the random number generation algorithm, etc. used in the entity authentication have been decrypted. In other words, if the authentication result of the preceding entity authentication is normal and the authentication result of the subsequent rewrite authentication is abnormal, it is highly likely that the key information, encryption engine information, random number generation information, etc. used in the entity authentication have been decrypted.

このような状況に対し、認証方法変更判定部5は、エンティティ認証の認証結果が正常である状況で書き換え認証の認証結果が異常となると、不正な認証要求を検知し、エンティティ認証の認証方法を変更する。具体的には、認証方法変更判定部5は、鍵情報の変更要求、暗号アルゴリズムの変更要求、乱数生成アルゴリズムの変更要求をエンティティ認証処理部3へ送信し、エンティティ認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムの変更をエンティティ認証処理部3に要求する。続いてエンティティ認証処理部3、エンティティ認証の認証方式を変更し、次回以降のエンティティ認証要求時には変更後の認証方式で認証を行う。 In such a situation, if the authentication result of rewrite authentication is abnormal when the authentication result of entity authentication is normal, the authentication method change determination unit 5 detects an invalid authentication request and changes the authentication method of entity authentication. Specifically, the authentication method change determination unit 5 sends a request to change the key information, encryption algorithm, and random number generation algorithm to the entity authentication processing unit 3, requesting the entity authentication processing unit 3 to change the key information, encryption algorithm, and random number generation algorithm used in entity authentication. The entity authentication processing unit 3 then changes the authentication method of entity authentication, and performs authentication using the changed authentication method from the next time an entity authentication request is made.

認証方法変更判定部5は、エンティティ認証の認証方法を変更することに加え、書き換え認証の認証方法を変更しても良い。具体的には、認証方法変更判定部5は、鍵情報の変更要求、暗号アルゴリズムの変更要求、乱数生成アルゴリズムの変更要求を書き換え認証処理部4へ送信し、書き換え認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムの変更を書き換え認証処理部4に要求する。続いて書き換え認証処理部4は、認証方式を変更し、次回以降の書き換え認証要求時には変更後の認証方式で認証を行う。 In addition to changing the authentication method for entity authentication, the authentication method change determination unit 5 may also change the authentication method for rewrite authentication. Specifically, the authentication method change determination unit 5 sends a request to change the key information, encryption algorithm, and random number generation algorithm to the rewrite authentication processing unit 4, requesting the rewrite authentication processing unit 4 to change the key information, encryption algorithm, and random number generation algorithm used in rewrite authentication. The rewrite authentication processing unit 4 then changes the authentication method, and performs authentication using the changed authentication method on subsequent rewrite authentication requests.

鍵管理サーバ8がエンティティ認証用の鍵情報及び書き換え認証用の鍵情報を管理する構成では、不正なリプログツール7が鍵管理サーバ8にアクセス不可であるので、ECU1においては、エンティティ認証が突破された場合でもエンティティ認証用の鍵情報を変更することで次回の不正なエンティティ認証要求に対処可能となる。ECU1においては、エンティティ認証用の暗号アルゴリズムや乱数生成アルゴリズムも変更することで次回の不正なエンティティ認証要求に強固に対処可能となる。又、ECU1においては、書き換え認証が突破された場合でも書き換え認証用の鍵情報を変更することで次回の不正な書き換え認証要求に対処可能となる。ECU1においては、書き換え認証用の暗号アルゴリズムや乱数生成アルゴリズムも変更することで次回の不正な書き換え認証要求に強固に対処可能となる。 In a configuration in which the key management server 8 manages key information for entity authentication and key information for rewrite authentication, an unauthorized reprogramming tool 7 cannot access the key management server 8. Therefore, even if entity authentication is breached, the ECU 1 can deal with the next unauthorized entity authentication request by changing the key information for entity authentication. The ECU 1 can also robustly deal with the next unauthorized entity authentication request by changing the encryption algorithm and random number generation algorithm for entity authentication. Furthermore, even if rewrite authentication is breached, the ECU 1 can deal with the next unauthorized rewrite authentication request by changing the key information for rewrite authentication. The ECU 1 can also robustly deal with the next unauthorized rewrite authentication request by changing the encryption algorithm and random number generation algorithm for rewrite authentication.

尚、エンティティ認証用の鍵情報及び書き換え認証用の鍵情報を変更することが必須でなくても良い。即ち、認証方法変更判定部5は、鍵情報の変更要求、暗号アルゴリズムの変更要求、乱数生成アルゴリズムの変更要求のうち少なくとも何れか一つをエンティティ認証処理部3や書き換え認証処理部4へ送信し、鍵情報、暗号アルゴリズム、乱数生成アルゴリズムのうち少なくとも何れか一つの変更をエンティティ認証処理部3や書き換え認証処理部4に要求しても良い。又、認証方式の変更は、エンティティ認証処理部3又は書き換え認証処理部4の両方又は何れか一つであっても良い。 Note that it is not necessary to change the key information for entity authentication and the key information for rewrite authentication. That is, the authentication method change determination unit 5 may send at least one of a request to change the key information, a request to change the encryption algorithm, or a request to change the random number generation algorithm to the entity authentication processing unit 3 or the rewrite authentication processing unit 4, and request the entity authentication processing unit 3 or the rewrite authentication processing unit 4 to change at least one of the key information, encryption algorithm, or random number generation algorithm. Furthermore, the authentication method may be changed by both or either one of the entity authentication processing unit 3 or the rewrite authentication processing unit 4.

次に、上記した構成の作用について図3から図5を参照して説明する。
制御部2は、認証処理を開始すると、外部からのエンティティ認証要求の受信を待機する(S1)。制御部2は、外部からのエンティティ認証要求を受信したと判定すると(S1:YES)、その受信したエンティティ認証要求が正常な要求パターンであるか否かを判定する(S2)。制御部2は、その受信したエンティティ認証要求が正常な要求パターンでないと判定すると(S2:NO)、エンティティ認証に失敗したと特定し、エンティティ認証の失敗回数をカウントアップし(S3)、そのカウントアップした回数が所定回数以上であるか否かを判定する(S4)。
Next, the operation of the above-described configuration will be described with reference to FIGS.
When the control unit 2 starts the authentication process, it waits for reception of an entity authentication request from outside (S1). If the control unit 2 determines that an entity authentication request has been received from outside (S1: YES), it determines whether the received entity authentication request has a normal request pattern (S2). If the control unit 2 determines that the received entity authentication request does not have a normal request pattern (S2: NO), it determines that the entity authentication has failed, counts up the number of entity authentication failures (S3), and determines whether the counted number is equal to or greater than a predetermined number (S4).

制御部2は、エンティティ認証の失敗回数が所定回数未満であると判定すると(S4:NO)、エンティティ認証の認証異常を認証要求の送信元へ送信し(S6)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。一方、制御部2は、エンティティ認証の失敗回数が所定回数以上であると判定すると(S4:YES)、エンティティ認証の認証結果が異常であることを記憶し(S5)、エンティティ認証の認証異常を認証要求の送信元へ送信し(S6)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。 If the control unit 2 determines that the number of entity authentication failures is less than the predetermined number (S4: NO), it sends an authentication abnormality notification for entity authentication to the sender of the authentication request (S6), returns to step S1, and waits to receive an entity authentication request from outside. On the other hand, if the control unit 2 determines that the number of entity authentication failures is equal to or greater than the predetermined number (S4: YES), it stores that the authentication result of entity authentication is abnormal (S5), sends an authentication abnormality notification for entity authentication to the sender of the authentication request (S6), returns to step S1, and waits to receive an entity authentication request from outside.

制御部2は、その受信したエンティティ認証要求が正常な要求パターンであると判定すると(S2:YES)、その受信したエンティティ認証要求が正常なデータフォーマットであるか否かを判定する(S7)。制御部2は、その受信したエンティティ認証要求が正常なデータフォーマットでないと判定すると(S7:NO)、エンティティ認証に失敗したと特定し、この場合も、上記したステップS3以降の処理を実施する。 If the control unit 2 determines that the received entity authentication request has a normal request pattern (S2: YES), it determines whether the received entity authentication request has a normal data format (S7). If the control unit 2 determines that the received entity authentication request does not have a normal data format (S7: NO), it determines that entity authentication has failed, and in this case, it also performs the processing from step S3 onwards described above.

制御部2は、その受信したエンティティ認証要求が正常なデータフォーマットであると判定すると(S7:YES)、エンティティ認証処理部3においてエンティティ認証処理を実施し(S8)、エンティティ認証の成功又は失敗を判定する(S9)。制御部2は、エンティティ認証の失敗を判定すると(S9:NO)、この場合も、上記したステップS3以降の処理を実施する。 If the control unit 2 determines that the received entity authentication request has a normal data format (S7: YES), it performs entity authentication processing in the entity authentication processing unit 3 (S8) and determines whether the entity authentication was successful or unsuccessful (S9). If the control unit 2 determines that the entity authentication was unsuccessful (S9: NO), it also performs the processing from step S3 onwards.

制御部2は、エンティティ認証の成功を判定すると(S9:YES)、エンティティ認証の認証正常を認証要求の送信元へ送信し(S10)、外部からの書き換え認証要求の受信を待機する(S11)。制御部2は、外部からの書き換え認証要求を受信したと判定すると(S11:YES)、その受信した書き換え認証要求が正常な要求パターンであるか否かを判定する(S12)。制御部2は、その受信した書き換え認証要求が正常な要求パターンでないと判定すると(S12:NO)、書き換え認証に失敗したと特定し、エンティティ認証の認証結果の記憶値が異常を示す値であるか否かを判定する(S13)。 When the control unit 2 determines that the entity authentication was successful (S9: YES), it transmits a successful entity authentication to the sender of the authentication request (S10) and waits to receive a rewrite authentication request from outside (S11). When the control unit 2 determines that a rewrite authentication request has been received from outside (S11: YES), it determines whether the received rewrite authentication request has a normal request pattern (S12). When the control unit 2 determines that the received rewrite authentication request does not have a normal request pattern (S12: NO), it determines that the rewrite authentication has failed and determines whether the stored value of the authentication result of the entity authentication is a value indicating an abnormality (S13).

制御部2は、エンティティ認証の認証結果の記憶値が異常を示す値であると判定すると(S13:YES)、エンティティ認証の認証方法変更要求を発動し(S14)、エンティティ認証処理部3におけるエンティティ認証の認証方法を変更する(S15)。即ち、制御部2は、エンティティ認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムを変更する。制御部2は、エンティティ認証の認証結果の記憶値及びエンティティ認証の失敗回数カウンタをクリアし(S16)、書き換え認証の認証異常を認証要求の送信元へ送信し(S17)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。 When the control unit 2 determines that the stored value of the authentication result of entity authentication is a value indicating an abnormality (S13: YES), it issues a request to change the authentication method of entity authentication (S14) and changes the authentication method of entity authentication in the entity authentication processing unit 3 (S15). That is, the control unit 2 changes the key information, encryption algorithm, and random number generation algorithm used in entity authentication. The control unit 2 clears the stored value of the authentication result of entity authentication and the entity authentication failure counter (S16), sends an authentication abnormality of rewrite authentication to the sender of the authentication request (S17), returns to step S1, and waits to receive an entity authentication request from outside.

一方、制御部2は、エンティティ認証の認証結果の記憶値が正常を示す値であると判定すると(S13:NO)、書き換え認証の失敗回数が所定回数以上であるか否かを判定する(S18)。制御部2は、書き換え認証の失敗回数が所定未満であると判定すると(S18:NO)、書き換え認証の認証異常を認証要求の送信元へ送信し(S17)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。 On the other hand, if the control unit 2 determines that the stored value of the authentication result of entity authentication is a value indicating normal (S13: NO), it determines whether the number of rewrite authentication failures is equal to or greater than a predetermined number (S18). If the control unit 2 determines that the number of rewrite authentication failures is less than the predetermined number (S18: NO), it sends an authentication abnormality in the rewrite authentication to the sender of the authentication request (S17), returns to step S1, and waits for receipt of an entity authentication request from outside.

制御部2は、書き換え認証の失敗回数が所定回数以上であると判定すると(S18:YES)、書き換え認証の認証結果が異常であることを記憶し(S19)、書き換え認証の認証方法変更要求を発動し(S20)、書き換え認証処理部4における書き換え認証の認証方法を変更する(S21)。即ち、制御部2は、書き換え認証で使用する鍵情報、暗号アルゴリズム、乱数生成アルゴリズムを変更する。制御部2は、書き換え認証の認証結果の記憶値及び書き換え認証の失敗回数カウンタをクリアし(S22)、書き換え認証の認証異常を認証要求の送信元へ送信し(S17)、ステップS1に戻り、外部からのエンティティ認証要求の受信を待機する。 When the control unit 2 determines that the number of rewrite authentication failures is equal to or exceeds the predetermined number (S18: YES), it stores the authentication result of the rewrite authentication as abnormal (S19), initiates a request to change the authentication method for the rewrite authentication (S20), and changes the authentication method for the rewrite authentication in the rewrite authentication processing unit 4 (S21). That is, the control unit 2 changes the key information, encryption algorithm, and random number generation algorithm used in the rewrite authentication. The control unit 2 clears the stored value of the authentication result of the rewrite authentication and the rewrite authentication failure counter (S22), sends a notice of the authentication abnormality for the rewrite authentication to the sender of the authentication request (S17), returns to step S1, and waits to receive an entity authentication request from outside.

制御部2は、その受信した書き換え認証要求が正常な要求パターンであると判定すると(S12:YES)、その受信した書き換え認証要求が正常なデータフォーマットであるか否かを判定する(S23)。制御部2は、その受信した書き換え認証要求が正常なデータフォーマットでないと判定すると(S23:NO)、書き換え認証に失敗したと特定し、この場合も、上記したステップS13以降の処理を実施する。 If the control unit 2 determines that the received rewrite authentication request has a normal request pattern (S12: YES), it determines whether the received rewrite authentication request has a normal data format (S23). If the control unit 2 determines that the received rewrite authentication request does not have a normal data format (S23: NO), it determines that the rewrite authentication has failed, and in this case, it also performs the processing from step S13 onwards described above.

制御部2は、その受信した書き換え認証要求が正常なデータフォーマットであると判定すると(S23:YES)、書き換え認証処理部4において書き換え認証処理を実施し(S24)、書き換え認証の成功又は失敗を判定する(S25)。制御部2は、書き換え認証の失敗を判定すると(S25:NO)、書き換え認証に失敗したと特定し、書き換え認証の失敗回数をカウントアップし(S26)、この場合も、上記したステップS13以降の処理を実施する。 If the control unit 2 determines that the received rewrite authentication request has a normal data format (S23: YES), it performs the rewrite authentication process in the rewrite authentication processing unit 4 (S24) and determines whether the rewrite authentication was successful or unsuccessful (S25). If the control unit 2 determines that the rewrite authentication failed (S25: NO), it determines that the rewrite authentication has failed, increments the number of rewrite authentication failures (S26), and in this case, it also performs the processes from step S13 onwards described above.

一方、制御部2は、書き換え認証の成功を判定すると(S25:YES)、エンティティ認証の認証結果の記憶値及びエンティティ認証の失敗回数カウンタをクリアし(S27)、書き換え認証の認証結果の記憶値及び書き換え認証の失敗回数カウンタをクリアし(S28)、書き換え認証の認証正常を認証要求の送信元へ送信し(S29)、認証処理を終了する。 On the other hand, if the control unit 2 determines that the rewrite authentication was successful (S25: YES), it clears the stored value of the authentication result of the entity authentication and the entity authentication failure counter (S27), clears the stored value of the authentication result of the rewrite authentication and the rewrite authentication failure counter (S28), sends a successful rewrite authentication to the sender of the authentication request (S29), and terminates the authentication process.

以上に説明したように実施形態によれば、次に示す作用効果を得ることができる。
ECU1において、エンティティ認証と書き換え認証とを順番に実施する場合に、外部からの不正な認証要求を検知し、エンティティ認証の失敗回数が所定回数以上であり、且つ書き換え認証にて外部からの不正な認証要求を検知すると、エンティティ認証の認証方法を変更するようにした。エンティティ認証の認証方法を変更することで、不正なプログラムの書き換えを適切に未然に回避することができる。
As described above, according to the embodiment, the following advantageous effects can be obtained.
When entity authentication and rewrite authentication are performed in sequence in the ECU 1, an unauthorized authentication request from outside is detected, and if the number of times entity authentication fails is equal to or exceeds a predetermined number and an unauthorized authentication request from outside is detected in the rewrite authentication, the authentication method for entity authentication is changed. By changing the authentication method for entity authentication, unauthorized program rewriting can be appropriately prevented in advance.

外部からの不正な認証要求を検知すると、エンティティ認証の認証方法を変更することに加え、書き換え認証の失敗回数が所定回数以上であると、書き換え認証の認証方法を変更するようにした。不正なプログラムの書き換えをより強固に未然に回避することができる。 When an unauthorized authentication request from outside is detected, the authentication method for entity authentication is changed. In addition, if the number of failed rewrite authentication attempts exceeds a predetermined number, the authentication method for rewrite authentication is also changed. This makes it possible to more reliably prevent unauthorized program rewrites.

認証要求が正常な要求パターンでないと判定し、認証の失敗回数が所定回数以上であると判定すると、認証結果が異常であると特定し、外部からの不正な認証要求を検知するようにした。認証要求の要求パターンを正常な要求パターンと照合することで、正常な要求パターンでない認証要求を不正な認証要求として特定することができ、外部からの不正な認証要求を検知することができる。 If it is determined that the authentication request does not have a normal request pattern and that the number of authentication failures exceeds a predetermined number, the authentication result is identified as abnormal and a fraudulent authentication request from outside is detected. By comparing the request pattern of the authentication request with a normal request pattern, it is possible to identify an authentication request that does not have a normal request pattern as a fraudulent authentication request and detect fraudulent authentication requests from outside.

認証要求が正常なデータフォーマットでないと判定し、認証の失敗回数が所定回数以上であると判定すると、認証結果が異常であると特定し、外部からの不正な認証要求を検知するようにした。認証要求のデータフォーマットを正常なデータフォーマットと照合することで、正常なデータフォーマットでない認証要求を不正な認証要求として特定することができ、外部からの不正な認証要求を検知することができる。 If it is determined that the authentication request does not have a valid data format and that the number of authentication failures exceeds a predetermined number, the authentication result is identified as abnormal and a fraudulent authentication request from outside is detected. By comparing the data format of the authentication request with a valid data format, it is possible to identify an authentication request that does not have a valid data format as a fraudulent authentication request and detect fraudulent authentication requests from outside.

認証処理を実施したことによる認証の失敗回数が所定回数以上であると判定すると、認証結果が異常であると特定し、外部からの不正な認証要求を検知するようにした。認証処理を実施したことによる認証の失敗回数を所定回数と照合することで、失敗回数が所定回数以上の書き換え認証要求を不正な認証要求として特定することができ、外部からの不正な認証要求を検知することができる。 If it is determined that the number of authentication failures due to the authentication process is equal to or exceeds a predetermined number, the authentication result is identified as abnormal and a fraudulent authentication request from outside is detected. By comparing the number of authentication failures due to the authentication process with a predetermined number, it is possible to identify rewrite authentication requests that have failed the predetermined number of times or more as fraudulent authentication requests, making it possible to detect fraudulent authentication requests from outside.

上記した実施形態では、リプログツール6がECU1に接続されることで、リプログツール6から更新データがECU1へ転送されると共に書き換え指示がECU1へ通知される構成を説明したが、OTAセンターから配信された更新データが通信ネットワークを介してECU1に転送される構成に適用することもできる。 In the above embodiment, a configuration was described in which the reprogramming tool 6 is connected to the ECU 1, and update data is transferred from the reprogramming tool 6 to the ECU 1 and a rewrite instruction is sent to the ECU 1. However, the configuration can also be applied in which update data distributed from an OTA center is transferred to the ECU 1 via a communications network.

本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。 While the present disclosure has been described with reference to exemplary embodiments, it is understood that the disclosure is not limited to those embodiments or structures. The present disclosure also encompasses various modifications and variations within the scope of equivalents. In addition, various combinations and forms, as well as other combinations and forms including only one element, more than one element, or less than one element, are also within the scope and spirit of the present disclosure.

本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。 The control unit and method described in this disclosure may be implemented by a special-purpose computer configured by configuring a processor and memory programmed to perform one or more functions embodied in a computer program. Alternatively, the control unit and method described in this disclosure may be implemented by a special-purpose computer configured by configuring a processor with one or more dedicated hardware logic circuits. Alternatively, the control unit and method described in this disclosure may be implemented by one or more special-purpose computers configured by combining a processor and memory programmed to perform one or more functions with a processor configured with one or more hardware logic circuits. Furthermore, the computer program may be stored as instructions executed by a computer on a computer-readable non-transitory tangible recording medium.

図面中、1は電子制御装置、2は制御部、3はエンティティ認証処理部(第1認証処理部)、4は書き換え認証処理部(第2認証処理部)、5は認証方法変更判定部である。 In the diagram, 1 is the electronic control unit, 2 is the control unit, 3 is the entity authentication processing unit (first authentication processing unit), 4 is the rewrite authentication processing unit (second authentication processing unit), and 5 is the authentication method change determination unit.

Claims (6)

外部から更新データが転送されることでプログラムを書き換える際に複数の認証処理を順番に実施する電子制御装置であって、
前記複数の認証処理をそれぞれ実施する複数の認証処理部(3,4)と、
外部からの不正な認証要求を検知すると、前記複数の認証のうち少なくとも一つの認証方法を変更する認証方法変更判定部(5)と、を備え
前記複数の認証処理部は、先行する第1認証処理を実施する第1認証処理部(3)と、後続する第2認証処理を実施する第2認証処理部(4)と、を含み、
前記認証方法変更判定部は、前記第1認証の認証結果が前記第1認証処理部により正常であると特定され、前記第2認証の認証結果が前記第2認証処理部により異常であると特定されると、外部からの不正な認証要求を検知し、前記第1認証の認証方法を変更する電子制御装置。
An electronic control device that performs a plurality of authentication processes in sequence when a program is rewritten by receiving update data from an external device,
a plurality of authentication processing units (3, 4) that respectively perform the plurality of authentication processes;
an authentication method change determination unit (5) that changes at least one of the plurality of authentication methods when detecting an unauthorized authentication request from outside ,
the plurality of authentication processing units include a first authentication processing unit (3) that performs a preceding first authentication processing and a second authentication processing unit (4) that performs a subsequent second authentication processing,
The authentication method change determination unit detects an external fraudulent authentication request and changes the authentication method of the first authentication when the authentication result of the first authentication is determined to be normal by the first authentication processing unit and the authentication result of the second authentication is determined to be abnormal by the second authentication processing unit .
記認証方法変更判定部は、前記第1認証の認証結果が前記第1認証処理部により正常であると特定され、前記第2認証の認証結果が前記第2認証処理部により異常であると特定されると、外部からの不正な認証要求を検知し、前記第1認証の認証方法を変更することに加え、前記第2認証の認証方法を変更する請求項1に記載した電子制御装置。 2. The electronic control device according to claim 1, wherein when the authentication result of the first authentication is determined to be normal by the first authentication processing unit and the authentication result of the second authentication is determined to be abnormal by the second authentication processing unit, the authentication method change determination unit detects an external fraudulent authentication request and changes the authentication method of the second authentication in addition to changing the authentication method of the first authentication . 前記認証処理部は、外部からの認証要求が正常な要求パターンでないと判定し、認証の失敗回数が所定回数以上であると判定すると、前記認証の認証結果が異常であると特定する請求項1又は2に記載した電子制御装置。 3. The electronic control device according to claim 1, wherein the authentication processing unit determines that an external authentication request does not have a normal request pattern and that the number of authentication failures is equal to or exceeds a predetermined number, and then identifies that the authentication result is abnormal . 前記認証処理部は、外部からの認証要求が正常なデータフォーマットでないと判定し、認証の失敗回数が所定回数以上であると判定すると、前記認証の認証結果が異常であると特定する請求項1又は2に記載した電子制御装置。 3. The electronic control device according to claim 1, wherein the authentication processing unit determines that the authentication result is abnormal when it determines that the external authentication request is not in a normal data format and that the number of authentication failures is greater than or equal to a predetermined number. 前記認証処理部は、前記認証処理を実施したことによる前記認証の失敗回数が所定回数以上であると判定すると、前記認証の認証結果が異常であると特定する請求項1又は2に記載した電子制御装置。 3. The electronic control device according to claim 1, wherein the authentication processing unit determines that the authentication result is abnormal when it determines that the number of times the authentication has failed due to the execution of the authentication process is equal to or greater than a predetermined number. 前記第1認証処理部は、エンティティ認証処理を実施するエンティティ認証処理部であり、
前記第2認証処理部は、書き換え認証処理を実施する書き換え認証処理部である請求項に記載した電子制御装置。
the first authentication processing unit is an entity authentication processing unit that performs entity authentication processing;
2. The electronic control unit according to claim 1 , wherein the second authentication processing unit is a rewrite authentication processing unit that performs rewrite authentication processing .
JP2022070130A 2022-04-21 2022-04-21 Electronic control unit Active JP7768024B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022070130A JP7768024B2 (en) 2022-04-21 2022-04-21 Electronic control unit
DE102023109180.8A DE102023109180A1 (en) 2022-04-21 2023-04-12 ELECTRONIC CONTROL DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022070130A JP7768024B2 (en) 2022-04-21 2022-04-21 Electronic control unit

Publications (2)

Publication Number Publication Date
JP2023160067A JP2023160067A (en) 2023-11-02
JP7768024B2 true JP7768024B2 (en) 2025-11-12

Family

ID=88238247

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022070130A Active JP7768024B2 (en) 2022-04-21 2022-04-21 Electronic control unit

Country Status (2)

Country Link
JP (1) JP7768024B2 (en)
DE (1) DE102023109180A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014208627A1 (en) 2013-06-25 2014-12-31 楽天株式会社 User authentication system, user authentication method, program, and information storage medium
JP2018185657A (en) 2017-04-26 2018-11-22 株式会社東芝 Authentication device and program
JP2020120367A (en) 2019-01-28 2020-08-06 オムロン株式会社 Safety system and maintenance method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6387908B2 (en) 2015-06-22 2018-09-12 トヨタ自動車株式会社 Authentication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014208627A1 (en) 2013-06-25 2014-12-31 楽天株式会社 User authentication system, user authentication method, program, and information storage medium
JP2018185657A (en) 2017-04-26 2018-11-22 株式会社東芝 Authentication device and program
JP2020120367A (en) 2019-01-28 2020-08-06 オムロン株式会社 Safety system and maintenance method

Also Published As

Publication number Publication date
JP2023160067A (en) 2023-11-02
DE102023109180A1 (en) 2023-10-26

Similar Documents

Publication Publication Date Title
CN110169036B (en) Method, system, machine-readable medium for updating programmable devices
JP6773617B2 (en) Update controller, software update system and update control method
US12039050B2 (en) Information processing device
US20170250818A1 (en) Method and System for Securely Updating Field Upgradeable Units
CN108694095A (en) Response is shifted using the failure of the known good state from distributed ledger
WO2016167926A1 (en) Secure software authentication and verification
US20230114009A1 (en) Information Processing Apparatus and Program Starting Method
CN112751832A (en) Online authorization authentication method, equipment and storage medium for virtual machine operating system
CN116964580A (en) Trusted Computing for Digital Devices
US20210034749A1 (en) Information processing apparatus
CN108270767A (en) Data verification method
CN109190335B (en) Software copyright protection method and system
JP7768024B2 (en) Electronic control unit
CN112307481B (en) A system trusted startup method, electronic device and computer-readable storage medium
JP6997260B2 (en) Methods for authenticating communication devices and messages
US20160232361A1 (en) Device and method for safely operating the device
CN120512262A (en) Device rights authorization using remote attestation
CN114091008A (en) Method for securely updating a control device
JP7067508B2 (en) Network system
CN108228219B (en) Method and device for verifying BIOS validity during in-band refreshing of BIOS
JP2024151397A (en) Processor System
US12500753B2 (en) Electronic control unit and storage medium
CN116155974B (en) A method, apparatus, and electronic device for establishing a data connection.
JP7803121B2 (en) Electronic control unit
CN111970124B (en) Computer factory mode control method, device, computer equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250704

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250805

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250912

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250930

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251013

R150 Certificate of patent or registration of utility model

Ref document number: 7768024

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150